Tải bản đầy đủ

Tìm hiểu mạng riêng ảo và ứng dụng

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG
-------o0o-------

TÌM HIỂU MẠNG RIÊNG ẢO VÀ ỨNG DỤNG

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công nghệ Thông tin

HẢI PHÒNG - 2019


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG
-------o0o-------

TÌM HIỂU MẠNG RIÊNG ẢO VÀ ỨNG DỤNG

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công nghệ Thông tin


Sinh viên thực hiện

: Hoàng Văn Hanh

Mã sinh viên

: 1512101003

Giáo viên hướng dẫn : TS. Ngô Trường Giang

HẢI PHÒNG - 2019


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG

CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

Độc lập - Tự do - Hạnh phúc
-------o0o-------

NHIỆM VỤ THIẾT KẾ TỐT NGHIỆP

Sinh viên: Hoàng Văn Hanh

Mã sinh viên:

Lớp:

Ngành: Công nghệ Thông tin

CT1901

1512101003

Tên đề tài:

“TÌM HIỂU MẠNG RIÊNG ẢO VÀ ỨNG DỤNG”



Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

MỞ ĐẦU
Ngày nay với sự phát triển của các phương tiện truyền thông, cùng với
sự bùng nổ thông tin, lĩnh vực truyền thông mạng máy tính đã và đang phát
triển không ngừng. Hiện nay trên thế giới có khoảng 3,9 tỷ người đang sử
dụng Internet tương đương một nửa dân số trên thế giới và các ứng dụng trên
Internet ngày càng phong phú. Các dịch vụ trên mạng Internet đã xâm nhập
vào hầu hết các lĩnh vực trong đời sống xã hội. Các thông tin trao đổi trên
Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất nhiều thông
tin cần bảo mật cao bởi tính kinh tế, tính chính xác và tin cậy của nó.
Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải
đảm bảo tính ổn định và an toàn cao. Tuy nhiên, các hình thức phá hoại mạng
cũng trở nên tinh vi và phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ
bảo mật đặt ra cho người quản trị là hết sức quan trọng và cần thiết.
Để đáp ứng yêu cầu đó, ngày nay đã có rất nhiều giải pháp bảo mật
được đặt ra nhằm đảm bảo an toàn thông tin khi trao đổi thông tin thông qua
mạng công cộng Internet. Một trong số các giải pháp đó là Mạng riêng ảo
VPN. Vậy Mạng riêng ảo VPN là gì, cách thức hoạt động cũng như ứng dụng
ra sao. Các câu hỏi sẽ được giải đáp trong đồ án này nhằm nắm bắt rõ về kỹ
thuật VPN.
Đồ án gồm 3 hạng mục chính:
 Chương I: Tổng quan về an ninh mạng
 Chương II: Mạng riêng ảo VPN
 Chương III: Thực nghiệm cấu hình VPN trên thiết bị Cisco

Hoàng Văn Hanh_CT1901M

1


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

MỤC LỤC
MỞ ĐẦU.......................................................................................................

1

MỤC LỤC ....................................................................................................

2

DANH MỤC TỪ VIẾT TẮT ....................................................................... 5
DANH MỤC HÌNH VẼ................................................................................ 7
CHƯƠNG 1: TỔNG QUAN AN NINH MẠNG.....................................

8

1.1 An ninh mạng là gì ............................................................................. 8
1.1.1 Khái niệm về an ninh mạng ........................................................ 8
1.1.2 Các đặc trưng kỹ thuật của an ninh mạng .................................... 9
1.1.2.1 Tính xác thực (Authentication)............................................

9

1.1.2.2

Tính khả dụng (Availability) ............................................... 9

1.1.2.3

Tính bảo mật (Confidential) .............................................. 10

1.1.2.4

Tính toàn vẹn (Integrity) ................................................... 10

1.1.2.5

Tính khống chế (Accountlability) ...................................... 11

1.1.2.6 Tính không thể chối cãi (Nonreputation) ........................... 11
1.1.3 Các lỗ hổng và điểm yếu mạng ................................................. 11
1.2 Một số phương thức tấn công mạng .................................................. 12
1.2.1 Xem trộm thông tin (Release of Message Content) ................... 12
1.2.2 Thay đổi thông điệp (Modification of Message) ....................... 13
1.2.3

Mạo danh (Masquerada) ........................................................... 13

1.2.4 Phát lại thông điệp (Replay) ...................................................... 14
1.3 Một số giải pháp bảo mật.................................................................. 14
1.3.1

Hệ thống tường lửa ................................................................... 14

1.3.2 Hệ thống phát hiện và chống xâm nhập IDS/IPS....................... 15
1.3.3 Công nghệ mạng LAN ảo (VLAN) ........................................... 16
1.3.4

Mạng riêng ảo (VPN) ............................................................... 17

CHƯƠNG 2: MẠNG RIÊNG ẢO VPN................................................ 19
2.1 Mạng riêng ảo VPN .......................................................................... 19
2.1.1

Định nghĩa VPN ....................................................................... 19

Hoàng Văn Hanh_CT1901M

2


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

2.1.2 Các thành phần tạo nên VPN ....................................................

20

2.1.2.1 VPN client ........................................................................

20

2.1.2.2 VPN server .......................................................................

20

2.1.2.3 IAS server .........................................................................

20

2.1.2.4

Firewall .............................................................................

21

2.1.2.5 Giao thức đường hầm (Tunneling Protocol) ......................

21

2.1.3 Lợi ích của VPN .......................................................................

22

2.1.4 Các yêu cầu cơ bản đối với một giải pháp VPN ........................

23

2.2 Ưu và nhược điểm của VPN .............................................................

24

2.2.1 Ưu điểm ....................................................................................

24

2.2.2 Nhược điểm ..............................................................................

25

2.3 Các công nghệ VPN .........................................................................

25

2.3.1 Site – to – Site VPNs ................................................................

26

2.3.1.1 Intranet VPNs (VPN nội bộ) .............................................

26

2.3.1.2 Extranet VPNs (VPN mở rộng) .........................................

27

2.3.2 Remote Access VPNs (VPN truy cập) ......................................

29

2.4 Các giao thức trong VPN ..................................................................

30

2.4.1 Giao thức đường hầm điểm tới điểm (PPTP) ............................

30

2.4.1.1

Giới thiệu PPTP ................................................................

30

2.4.1.2 Nguyên tắc hoạt động........................................................

31

2.4.1.3 Ưu nhược điểm và khả năng ứng dụng ..............................

32

2.4.2 Giao thức đường hầm lớp 2 L2TP .............................................

33

2.4.2.1 Giới thiệu ..........................................................................

33

2.4.2.2 Các thành phần của L2TP .................................................

34

2.4.2.3 Dữ liệu đường hầm L2TP..................................................

35

2.4.2.4 Những thuận lợi và bất lợi .................................................

37

2.4.3 Giao thức bảo mật IP (Internet Protocol Security).....................

37

2.4.3.1 Giới thiệu ..........................................................................

37

2.4.3.2 Giao thức đóng gói tải tin an toàn ESP ..............................

40

2.4.3.3 Giao thức xác thực tiêu đề AH ..........................................

42

Hoàng Văn Hanh_CT1901M

3


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

2.4.3.4

Giao thức trao đổi khóa IKE (Internet Key Exchange).......44

2.4.3.5

Quy trình hoạt động.............................................................44

2.4.3.6

Những hạn chế của IPSec....................................................45

2.4.4

SSL/TSL......................................................................................46

2.4.4.1

Giao thức SSL (Secure Socket Layer).................................46

2.4.4.2

Giao thức TLS..................................................................... 46

CHƯƠNG 3: THỰC NGHIỆM CẤU HÌNH VPN TRÊN THIẾT BỊ
CISCO............................................................................................................ 48
3.1 Phát biểu bài toán................................................................................48
3.2 Triển khai thực nghiệm....................................................................... 49
3.2.1

Mô hình triển khai thực nghiệm..................................................49

3.2.2

Giải thích mô hình.......................................................................49

3.2.3

Cấu hình thực nghiệm................................................................. 51

3.2.3.1

Mô hình VPN Site – to – Site.............................................. 51

3.2.3.2

Kết quả.................................................................................54

3.2.3.3

Mô hình VPN Remote Access.............................................65

3.2.3.4

Kết quả.................................................................................68

KẾT LUẬN.................................................................................................... 71
TÀI LIỆU THAM KHẢO............................................................................ 72

Hoàng Văn Hanh_CT1901M

4


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

DANH MỤC TỪ VIẾT TẮT
Từ viết tắt

Từ đầy đủ

Ý nghĩa

ATM

Asynchronous Transfer Mode

Công nghệ truyền tải không đồng bộ

AH

Authentication Header

Giao thức tiêu đề xác thực

CLI

Command – line Interface

Giao diện dòng lệnh

ESP

Encapsulation Security Payload

Giao thức tải an ninh đóng gói

GRE

Generic Routing Encapsulation

Giao thức mã hóa định tuyến

IETF

Internet Engineering Task Force

Cơ quan chuẩn Internet

IKE

Internet Key Exchange

Giao thức trao đổi khoá Internet

IP

Internet Protocol

Giao thức Internet

IPSec

Internet Protocol Security

Giao thức bảo mật Internet

ISAKMP

Internet Security Association and
Key Management Protocol

Hiệp hội bảo mật Internet và giao thức
quản lý khóa

ISP

Internet Service Provides

Nhà cung cấp dịch vụ Internet

L2F

Layer 2 Forwarding

Giao thức chuyển tiếp lớp 2

L2TP

Layer 2 Tunneling Protocol

Giao thức đường hầm lớp 2

LAC

L2TP Access Concentrator

Bộ tập trung truy cập L2TP

LNS

L2TP Network Server

Máy chủ mạng L2TP

NAS

Network Access Server

Máy chủ truy cập mạng

NAT

Network Address Translation

Phân giải địa chỉ mạng

OSI

Open Systems Interconnection

Kết nổi hệ thống mở

PAP

Password Authentication Protocol

Giao thức xác thực mật khẩu

POP

Post Office Protocol

Giao thức bưu điện

PPP

Point To Point Protocol

Giao thức điểm tới điểm

Hoàng Văn Hanh_CT1901M

5


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

PPTP

Point To Point Tunneling Protocol

Giao thức đường ngầm điểm tới điểm

QoS

Quanlity of Service

Chất lượng dịch vụ

RAS

Remote Access Server

Dịch vụ truy nhập từ xa

SA

Security Association

Kết hợp an ninh

SPI

Security Parameter Index

Chỉ số thông số an ninh

TCP

Transmission Control Protocol

Giao thức điều khiển đường truyền

UDP

User DataGram Protocol

Giao thức UDP

VPN

Virtual Private Network

Mạng riêng ảo

WAN

Wide Are Network

Mạng diện rộng

Hoàng Văn Hanh_CT1901M

6


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

DANH MỤC HÌNH VẼ
Hình 1-1 Xem trộm thông điệp....................................................................... 12
Hình 1-2 Thay đổi thông điệp......................................................................... 13
Hình 1-3 Mạo danh và gửi đi thông điệp........................................................ 13
Hình 1-4 Sao chép và gửi đi thông điệp giả....................................................14
Hình 1-5 Mô hình VLAN................................................................................17
Hình 2-1 Mô hình mạng VPN......................................................................... 19
Hình 2-2 Mô hình VPN nội bộ........................................................................26
Hình 2-3 Mô hình mạng VPN mở rộng...........................................................28
Hình 2-4 Mô hình VPN truy cập từ xa............................................................29
Hình 2-5 Đường hầm L2TP............................................................................ 34
Hình 2-6 Quy trình đóng gói gói tin L2TP......................................................35
Hình 2-7 Quá trình xử lý de – tunneling gói tin L2TP....................................36
Hình 2-8 Transport mode packet.....................................................................39
Hình 2-9 Khuôn dạng gói ESP........................................................................41
Hình 2-10 AH Header......................................................................................42
Hình 3-1 Mô hình VPN Site – to – Site.......................................................... 49
Hình 3-2 Mô hình VPN Remote Access......................................................... 49
Hình 3-3 Cấu hình Router HQ........................................................................ 54
Hình 3-4 Cấu hình Router HQ........................................................................ 55
Hình 3-5 Cấu hình Router HQ........................................................................ 56
Hình 3-6 Cấu hình Router Branch...................................................................57
Hình 3-7 Cấu hình Router Branch...................................................................58
Hình 3-8 Cấu hình Router Branch...................................................................60
Hình 3-9 Cấu hình Router ISP........................................................................ 62
Hình 3-10 Ping thông giữa các máy Client.....................................................63
Hình 3-11 Truy xuất dữ liệu thành công......................................................... 64
Hình 3-12 Thao tác với dữ liệu tại máy chủ....................................................65
Hình 3-13 Khởi tạo kết nối VPN Remote Access...........................................67
Hình 3-14 Cấu hình Router HQ...................................................................... 68
Hình 3-15 Cấu hình Router ISP...................................................................... 69
Hình 3-16 Khởi tạo kết nối VPN.....................................................................70
Hình 3-17 Ping thành công từ máy Remote Access tới Server....................... 70

Hoàng Văn Hanh_CT1901M

7


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

CHƯƠNG 1: TỔNG QUAN AN NINH MẠNG
1.1 An ninh mạng là gì
1.1.1 Khái niệm về an ninh mạng
An ninh mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả
các thành phần mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm
bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt
động được ấn định và chỉ với những người có thẩm quyền tương ứng.
An ninh mạng bảo gồm:
 Xác định các khả năng, nguy cơ xâm phạm mạng, các sự cố rủi ro đối
với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an
toàn mạng.
 Đánh giá nguy cơ tấn công của Hacker đến mạng. An toàn mạng là một
vấn đề cực kì quan trọng trong các hoạt động, giao dịch điện tử và trong
khai thác, sử dụng tài nguyên mạng.
Tầm quan trọng của lĩnh vực an ninh mạng ngày càng tăng do sự phụ
thuộc ngày càng nhiều vào các hệ thống máy tính và Internet tại các quốc gia,
cũng như sự phụ thuộc vào hệ thống mạng không dây như Bluetooth, Wi-Fi,
và sự phát triển của các thiết bị thông minh, bao gồm điện thoại thông minh,
TV và các thiết bị khác kết nối vào hệ thống Internet of Things.
Một thách thức đối với an ninh mạng là xác định chính xác cấp độ an
toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng. Đánh giá
các nguy cơ, các lỗ hổng khiến mạng có thể bị xâm nhập. Khi đánh giá được
hết những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được những
biện pháp tốt nhất để đảm bảo an ninh mạng.
Sử dụng hiệu quả các công cụ bảo mật (như Firewall ...) và những biện
pháp, chính sách cụ thể chặt chẽ.

Hoàng Văn Hanh_CT1901M

8


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

1.1.2 Các đặc trưng kỹ thuật của an ninh mạng
1.1.2.1 Tính xác thực (Authentication)
Các hoạt động kiểm tra tính xác thực là quan trọng nhất trong các hoạt
động của một phương thức bảo mật. Một hệ thống thông thường phải thực
hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện
kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các phương thức bảo
mật dựa vào 3 mô hình chính sau:
 Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ
như Password, hoặc mã số thông số cá nhân PIN (Personal Information
Number).
 Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra
cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private
Key, hoặc số thẻ tín dụng.
 Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối
tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất
của mình ví dụ như thông qua giọng nói, dấu vân tay, chữ ký ...
1.1.2.2 Tính khả dụng (Availability)
Tính khả dụng là đặc tính mà thông tin trên mạng được các thực thể
tiếp cận và sử dụng theo yêu cầu, khi cần thiết bất cứ khi nào, trong hoàn cảnh
nào. Tính khả dụng nói chung dùng tỷ lệ giữa thời gian hệ thống được sử
dụng bình thường với thời gian quá trình hoạt động để đánh giá. Tính khả
dụng cần đáp ứng những yêu cầu sau:
 Nhận biết và phân biệt thực thể.
 Khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống
chế tiếp cận cưỡng bức).
 Khống chế lưu lượng (chống tắc nghẽn…).

Hoàng Văn Hanh_CT1901M

9


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

 Khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn
định, tin cậy).
 Giám sát tung tích (tất cả các sự kiện phát sinh trong hệ thống được lưu
giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng).
1.1.2.3 Tính bảo mật (Confidential)
Tính bảo mật là đặc tính tin tức không bị tiết lộ cho các thực thể hay
quá trình không được uỷ quyền biết hoặc không để cho các đối tượng đó lợi
dụng. Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng. Kỹ thuật bảo
mật thường là phòng ngừa dò la thu thập (làm cho đối thủ không thể dò la thu
thập được thông tin), phòng ngừa bức xạ (phòng ngừa những tin tức bị bức xạ
ra ngoài bằng nhiều đường khác nhau), tăng cường bảo mật thông tin (dưới sự
khống chế của khoá mật mã), bảo mật vật lý (sử dụng các phương pháp vật lý
để đảm bảo tin tức không bị tiết lộ).
1.1.2.4 Tính toàn vẹn (Integrity)
Là đặc tính khi thông tin trên mạng chưa được uỷ quyền thì không thể
tiến hành biến đổi được. Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn
thông tin trên mạng gồm: sự cố thiết bị, sai mã, bị tác động của con người và
virus máy tính.
Một số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng:
 Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi. Nếu
phát hiện thì thông tin đó sẽ bị vô hiệu hoá.
 Phương pháp phát hiện sai và sửa sai. Phương pháp sửa sai mã hoá đơn
giản nhất và thường dùng là phép kiểm tra chẵn - lẻ.
 Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở
truyền tin.
 Chữ ký điện tử: bảo đảm tính xác thực của thông tin.

Hoàng Văn Hanh_CT1901M

10


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

 Yêu cầu cơ quan quản lý hoặc trung gian chứng minh tính chân thực
của thông tin.
1.1.2.5 Tính khống chế (Accountlability)
Là đặc tính về năng lực khống chế truyền bá và nội dung vốn có của tin
tức trên mạng.
1.1.2.6 Tính không thể chối cãi (Nonreputation)
Trong quá trình giao lưu tin tức trên mạng, xác nhận tính chân thực
đồng nhất của những thực thể tham gia, tức là tất cả các thực thể tham gia
không thể chối bỏ hoặc phủ nhận những thao tác và cam kết đã được thực
hiện.
1.1.3 Các lỗ hổng và điểm yếu mạng
Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng
trệ của dịch vụ, thêm quyền với người sử dụng hoặc cho phép các truy cập trái
phép vào hệ thống. Các lỗ hổng tồn tại trong các dịch vụ như Web, Ftp … và
trong các hệ điều hành như Windows NT, Windows 95, UNIX hoặc trong các
ứng dụng. Gồm có 3 loại lỗ hổng bảo mật:
Lỗ hổng loại C: cho phép thực hiện các phương thức tấn công theo kiểu
từ chối dịch vụ DoS (Dinal of Services). Mức nguy hiểm thấp, chỉ ảnh hưởng
chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không phá hỏng
dữ liệu hoặc chiếm quyền truy nhập.
Lổ hổng loại B: cho phép người sử dụng có thêm các quyền trên hệ
thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung
bình, những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể
dẫn đến lộ thông tin yêu cầu bảo mật.
Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài cho
thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm
phá hủy toàn bộ hệ thống.
Hoàng Văn Hanh_CT1901M

11


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

Hacker có thể lợi dụng những lỗ hổng trên để xâm nhập vào hệ thống,
lợi dụng các lỗ hổng hệ thống, hoặc từ chính sách bảo mật, hoặc sử dụng các
công cụ dò xét để cướp quyền truy nhập. Sau khi xâm nhập có thể tiếp tục tìm
hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các
hành động phá hoại tinh vi hơn.
1.2 Một số phương thức tấn công mạng
1.2.1 Xem trộm thông tin (Release of Message Content)
Trong trường hợp này Hacker ngăn chặn các thông điệp giữa người gửi
và người nhận, và xem được nội dung của thông điệp đó.

Hình 1-1 Xem trộm thông điệp

Hoàng Văn Hanh_CT1901M

12


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

1.2.2 Thay đổi thông điệp (Modification of Message)

Hình 1-2 Thay đổi thông điệp
Trường hợp này Hacker chặn các thông điệp và ngăn không cho các
thông diệp này tới đích. Sau đó thay đổi nội dung của thông điệp và gửi cho
người nhận. Người nhận không hề biết nội dung thông điệp đã bị thay đổi.
1.2.3 Mạo danh (Masquerada)
Trường hợp này Hacker sẽ giả là người gửi và gửi đi thông điệp cho
người nhận. Người nhận không biết điều này và nghĩ rằng đó là thông điệp từ
người gửi.

Hình 1-3 Mạo danh và gửi đi thông điệp

Hoàng Văn Hanh_CT1901M

13


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

1.2.4 Phát lại thông điệp (Replay)
Trường hợp này Hacker sao chép lại thông điệp từ người gửi. Sau đó
một thời gian Hacker gửi lại bản sao chép này cho người nhận. Người nhận
tin rằng thông điệp này vẫn từ phía người gửi, nội dung của thông điệp là
giống nhau.

Hình 1-4 Sao chép và gửi đi thông điệp giả
1.3 Một số giải pháp bảo mật
1.3.1 Hệ thống tường lửa
Tường lửa là hệ thống kiểm soát truy cập giữa mạng nội bộ và mạng
Internet. Một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập
trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập
không mong muốn vào hệ thống.
Firewalls cung cấp hai chức năng chính cho nhà quản trị mạng. Thứ
nhất là chức năng kiểm soát những gì mà người dùng từ mạng ngoài có thể
nhìn thấy được và những dịch vụ nào được cho phép sử dụng ở mạng nội bộ.
Thứ hai là kiểm soát những nơi nào, dịch vụ nào của Internet mà một user
trong mạng nội bộ có thể được truy cập, được sử dụng.
Firewalls có hai loại và mỗi loại có ưu điểm khác nhau. Firewall cứng
có hiệu năng ổn định, không phụ thuộc vào hệ điều hành, virus, mã độc, ngăn
Hoàng Văn Hanh_CT1901M

14


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

chặn tốt giao thức ở tầng mạng trong mô hình TCP/IP. Firewall mềm rất linh
hoạt trong những cấu hình ở giao thức tầng ứng dụng trong mô hình TCP/IP.
1.3.2 Hệ thống phát hiện và chống xâm nhập IDS/IPS
Hệ thống phát hiện xâm nhập IDS (Intrusion Detect System) cung cấp
thêm cho việc bảo vệ thông tin mạng ở mức độ cao hơn. IDS cung cấp thông
tin về các cuộc tấn công vào hệ thống mạng. Tuy nhiên IDS không tự động
cấm hoặc là ngăn chặn các cuộc tấn công.
Hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevent System) nhằm
mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những
mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong
khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.
IPS ngăn chặn các cuộc tấn công dưới những dạng sau:
 Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm
vào mạng và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác
định và danh sách kiểm soát truy nhập.
 Các tấn công từ chối dịch vụ như tràn các gói tin SYN và ICMP bởi
việc dùng các thuật toán dựa trên cơ sở “ngưỡng”.
 Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc
giao thức ứng dụng và chữ kí.
 Những tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới
hạn tài nguyên dựa trên cơ sở ngưỡng.
Ưu điểm: phát hiện các cuộc tấn công nhanh và chính xác, không đưa
ra các cảnh báo sai làm giảm khả năng hoạt động của mạng, giúp người quản
trị xác định các lỗ hổng bảo mật trong hệ thống của mình.
Nhược điểm: Không phát hiện được các tấn công không có trong mẫu,
các tấn công mới. Do đó hệ thống phải luôn cập nhật các mẫu tấn công mới.

Hoàng Văn Hanh_CT1901M

15


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

Hạn chế: So với Firewall, IDS/ IPS đã thể hiện được nhiều tính năng
ưu việt. Nó không chỉ có khả năng phát hiện ra các cuộc tấn công, mà còn
chống lại các cuộc tấn công này một cách hữu hiệu. Tuy vậy hệ thống này vẫn
còn những hạn chế. Các sản phẩm IPS không thể nhận biết được trạng thái
tầng ứng dụng (chỉ có thể nhận biết được các dòng thông tin trên tầng mạng).
Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn
chặn.
1.3.3 Công nghệ mạng LAN ảo (VLAN)
Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch.
Bình thường thì router đóng vai tạo ra miền quảng bá. VLAN là một kỹ thuật
kết hợp chuyển mạch lớp 2 và định tuyến lớp 3 để giới hạn miền đụng độ và
miền quảng bá. VLAN còn được sử dụng để bảo mật giữa các nhóm VLAN
theo chức năng nhóm.
VLAN là một đoạn mạng theo logic dựa trên chức năng, đội nhóm,
hoặc ứng dụng của một tổ chức chứ không phụ thuộc vào vị trí vật lý hay kết
nối vật lý trong mạng. Tất cả các trạm và server được sử dụng bởi cùng một
nhóm làm việc sẽ được đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý
của chúng.
Ưu điểm: VLAN cho phép người quản trị mạng tổ chức mạng theo
logic chứ không theo vật lý nữa. Nhờ đó những công việc sau thực hiện dễ
dàng hơn:
 Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng.
 Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể
cấu hình VLAN khác nhau cho từng cổng, do đó dẽ dàng kết nối thêm
các máy tính với các VLAN.
 Tiết kiệm băng thông của mạng: do VLAN có thể chia nhỏ LAN thành
các đoạn (là một vùng quản bá). Khi một gói tin buảng bả, nó sẽ được
Hoàng Văn Hanh_CT1901M

16


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

truyền đi chỉ trong một VLAN duy nhất, không truyền đi ở các VLAN
khác nên giảm lưu lượng quảng bá, tiết kiệm băng thông đường truyền.

Hình 1-5 Mô hình VLAN
1.3.4 Mạng riêng ảo (VPN)
VPN cung cấp kênh an toàn cho các kết nối, các cá nhân có thể dùng
Internet truy cập tài nguyên trên mạng cục bộ một cách bảo mật và thoải mái
khi họ ở nhà hoặc đi du lịch một cách nhanh chóng và hiệu quả trên cả máy
tính hay thiết bị di động.
Mạng VPN đảm bảo an toàn và bảo vệ sự lưu thông trên mạng và cung
cấp sự riêng tư, sự chứng thực và toàn vẹn dữ liệu thông qua các giải thuật mã
hoá.
Để cung cấp kết nối giữa các máy tính, các gói thông tin được đóng gói
bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể
gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như
truyền trên các đường ống riêng được gọi là tunnel.
Khi truyền các gói tin cần phải áp dụng các cơ chế mã hóa và chứng
thực để bảo mật như SSL (Secure Socket Layer), IPSec (IP Security Tunnel
Hoàng Văn Hanh_CT1901M

17


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

Mode, PPTP (Point to Point Tunneling Protocol), L2TP (Layer 2 Tunneling
Protocol).

Hoàng Văn Hanh_CT1901M

18


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

CHƯƠNG 2: MẠNG RIÊNG ẢO VPN
2.1 Mạng riêng ảo VPN
2.1.1 Định nghĩa VPN
VPN được hiểu như là một giải pháp mở rộng một mạng riêng thông
qua một mạng chung (thường là Internet). Mỗi VPN sẽ kết nối với một VPN
khác, các site khác hay nhiều người dùng từ xa. Thay thế cho kết nối thực như
leased – line, VPN sử dụng các kết nối ảo được dẫn từ các mạng nội bộ tới
các site của người dùng từ xa.
Các giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng
cường thông tin từ xa vì phạm vi hoạt động rộng (toàn quốc hay toàn cầu). Tài
nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn giúp tiết kiệm chi phí
và thời gian.
VPN được gọi là mạng ảo bởi chúng chỉ sử dụng các kết nối tạm thời.
Những kết nối bảo mật được thiết lập giữa các host, giữa host với mạng hay
giữa hai mạng với nhau.

Hình 2-1 Mô hình mạng VPN

Hoàng Văn Hanh_CT1901M

19


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

2.1.2 Các thành phần tạo nên VPN
2.1.2.1 VPN client
VPN client có thể là một máy tính hoặc một bộ định tuyến. Loại VPN
khách hàng sử dụng cho mạng của công ty phụ thuộc vào nhu cầu cá nhân của
công ty đó.
Mặt khác, nếu công ty có một vài nhân viên thường xuyên đi công tác
xa và cần phải truy cập vào mạng của công ty trên đường đi, máy tính xách
tay của nhân viên có thể thiết lập như VPN client.
Về mặt kỹ thuật, bất kỳ hệ điều hành đều có thể hoạt động như một
VPN Client miễn là nó có hỗ trợ các giao thức như: giao thức đường hầm
điểm-điểm PPTP (Point to Point Tunneling Protocol), giao thức đường hầm
lớp 2 L2TP (Layer 2 Tunneling Protocol) và giao thức bảo mật Internet IPSec
(Internet Protocol Security). Ngày nay, với các phiên bản Windows mới thì
khả năng truy cập mạng VPN càng được phát triển tối ưu hơn, do đó vấn đề
không tương thích với các phiên bản hệ điều hành hiện nay là không tồn tại.
2.1.2.2 VPN server
VPN server hoạt động như một điểm kết nối cho các VPN client. Về
mặt kỹ thuật, một máy chủ VPN có thể được cài đặt trên một số hệ điều hành
như Window Server, Linux …
VPN Server khá đơn giản. Nó là một máy chủ được cài đặt dịch vụ máy
chủ định tuyến và truy cập từ xa RRAS (Routing and Remote Access Server).
Khi một kết nối VPN đã được chứng thực, các máy chủ VPN chỉ đơn giản là
hoạt động như một bộ định tuyến cung cấp cho khách hàng VPN có thể truy
cập đến một mạng riêng.
2.1.2.3 IAS server
Một trong những yêu cầu bổ sung cho một máy chủ VPN là cần có một
máy chủ dịch vụ xác thực người dùng truy cập từ xa RADIUS (Remote
Hoàng Văn Hanh_CT1901M

20


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

Authentication Dial in User Service). RADIUS là một server sử dụng quay số
xác thực từ xa. RADIUS là cơ chế mà các nhà cung cấp dịch cụ Internet
thường sử dụng để xác thực các thuê bao để thiết lập kết nối Internet.
Microsoft cũng có phiên bản riêng của RADIUS được gọi là dịch vụ
xác thực Internet IAS (International Accounting Standards).
2.1.2.4 Firewall
Các thành phần khác theo yêu cầu của mạng riêng ảo VPN (Virtual
Private Network) là một tường lửa tốt. Máy chủ VPN chấp nhận kết nối từ
mạng ngoài, nhưng điều đó không có nghĩa là mạng ngoài cần phải có quyền
truy cập đầy đủ đến máy chủ VPN. Chúng ta phải sử dụng một tường lửa để
chặn bất kỳ cổng nào không sử dụng.
Yêu cầu cơ bản cho việc thiết lập kết nối VPN là địa chỉ IP của máy
chủ VPN có thông qua tường lửa để tiếp cận với máy chủ VPN.
Chúng ta có thể đặt một máy chủ ISA giữa tường lửa và máy chủ VPN.
Ý tưởng là có thể cấu hình tường lửa để điều chỉnh tất cả lưu lượng truy cập
VPN có liên quan đến ISA Server chứ không phải là máy chủ VPN. ISA
Server sau đó hoạt động như một proxy VPN. Cả hai VPN Client và VPN
Server chỉ giao tiếp với máy chủ ISA mà không bao giờ giao tiếp trực tiếp với
nhau. Điều này có nghĩa là ISA Server che chắn các VPN Server từ các VPN
Client truy cập đến, vì thế cho VPN Server sẽ có thêm một lớp bảo vệ.

2.1.2.5 Giao thức đường hầm (Tunneling Protocol)
VPN client truy cập vào một máy chủ VPN qua một đường hầm ảo.
Đường hầm ảo này là một lối đi an toàn qua môi trường công cộng (như
Internet). Để có được đường hầm, cần phải sử dụng một trong các giao thức
đường hầm. Một số giao thức để lựa chọn để tạo đường hầm như: IPSec,
L2TP, PPTP và GRE. Nhưng để lựa chọn một giao thức đường hầm phù hợp
Hoàng Văn Hanh_CT1901M

21


Tìm hiểu về mạng riêng ảo và ứng dụng

Đồ án tốt nghiệp

cho một mô hình mạng ở một công ty hay một doanh nghiệp bất kỳ là một
quyết định quan trọng khi lập kế hoạch để triển khai hệ thống VPN cho doanh
nghiệp, công ty đó.
Lợi thế lớn nhất mà L2TP hơn PPTP là nó dựa trên IPSec. IPSec mã
hóa dữ liệu, cung cấp xác thực dữ liệu, dữ liệu của người gửi sẽ được mã hóa
và đảm bảo không bị thay đổi nội dung trong khi truyền.
Mặc dù L2TP có vẻ là có lợi thế hơn so với PPTP, nhưng PPTP cũng có
lợi thế riêng đó là khả năng tương thích. PPTP hoạt động tốt với các hệ điều
hành Windows hơn L2TP.
2.1.3 Lợi ích của VPN
 VPN giúp giảm đáng kể chi phí đường truyền

VPN tiết kiệm chi phí cho việc thuê đường truyền và giảm chi phí phát
sinh cho người dùng từ xa, họ có thể truy cập vào mạng nội bộ thông qua các
điểm cung cấp dịch vụ ở địa phương POP (Point of Presence) hạn chế thuê
đường truy cập của nhà cung cấp. Giá thành cho việc kết nối Lan – to – Lan
giảm đáng kể so với việc thuê đường Leased – line, hay các giải pháp truyền
tin truyền thống như Frame Relay, ATM hay IDSN.
 Giảm chi phí quản lí và hỗ trợ

Việc sử dụng dịch vụ nhà cung cấp chúng ta chỉ cần quản lý các kết nối
đầu cuối tại các chi nhánh mạng mà không phải quản lý các thiết bị chuyển
mạch trên mạng. Đồng thời có thể tận dụng cơ sở hạ tầng của mạng Internet
và đội ngũ kỹ thuật của nhà cung cấp dịch vụ.
 Đảm bảo an toàn thông tin

Dữ liệu truyền trên mạng được mã hóa và phân quyền sử dụng cho từng
người dùng (user) khác nhau, đồng thời được truyền trong các đường hầm
(Tunnel) nên thông tin có độ an toàn cao.
Hoàng Văn Hanh_CT1901M

22


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×